DE10346923A1 - Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren - Google Patents

Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren Download PDF

Info

Publication number
DE10346923A1
DE10346923A1 DE10346923A DE10346923A DE10346923A1 DE 10346923 A1 DE10346923 A1 DE 10346923A1 DE 10346923 A DE10346923 A DE 10346923A DE 10346923 A DE10346923 A DE 10346923A DE 10346923 A1 DE10346923 A1 DE 10346923A1
Authority
DE
Germany
Prior art keywords
intrusion detection
network
detection system
deployable
procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10346923A
Other languages
English (en)
Inventor
John Redwood City Mendonca
Bryan Alviso Stephenson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE10346923A1 publication Critical patent/DE10346923A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ein Verfahren zum Bereitstellen von Sicherheit für ein Netzwerkeindringungserfassungssystem in einem bereitstellbaren Netzwerk, wobei das Verfahren das Bewerten der Systemsicherheit des bereitstellbaren Netzwerks und das Anwenden einer Systemverriegelung in dem bereitstellbaren Netzwerk gemäß den Ergebnissen der Bewertung aufweist.

Description

  • Diese Anmeldung nimmt hierin durch Bezugnahme die mitanhängige Patentanmeldung, Anwaltsaktenzeichen HP-200209593-1 auf, mit dem Titel „Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks" auf, die gleichzeitig mit dieser eingereicht und an den selben Bevollmächtigten der vorliegenden Erfindung erteilt wurde.
  • Die vorliegende Erfindung bezieht sich auf das Gebiet von Computernetzwerksicherheit. Genauer gesagt bezieht sich die vorliegende Erfindung auf ein Verfahren und eine Architektur zum Schützen der Sicherheit von Eindringungserfassungssensoren in einem provisorischen Hilfsprogrammdatenzentrum.
  • Die moderne Vernetzung liefert ständig Kommunikations- und Informations-Zugriffs-Erweiterungen und -Verbesserungen. Das anhaltende Wachstum von Netzwerk-Systemen und -Technik scheint grenzenlos und die Geschwindigkeit von vernetzten Kommunikationen hat fast jedem menschlichem Bestreben Vorteile gebracht.
  • Neuere Trends bei der Informationstechnik haben ergeben, daß sich große Unternehmen und andere Benutzer hin zu einem neuen Musterbeispiel der Netzwerkverwendung bewegen, dem bereitstellbaren Hilfsprogrammdatenzentrum (UDC; UDC = Utility Data Center). Ein bereitstellbares Datenzentrum ermöglicht eine Zentralisierung von Informationstechnikdiensten (IT-Diensten) und unternehmensweit und sogar internetweit Zugriff auf spezialisierte Daten und Funktionen. Die verschiedenen Schritte zum Rezentralisieren von IT-Systemen aller Art wird teilweise durch Mängel an qualifiziertem IT-Personal und durch die intrinsischen Unzulänglichkeiten von verteilten Systemen getrieben. Es ist bedeu tend, daß viele IT-Verwalter zu einer kleineren Anzahl von großen Datenzentren migrieren. Ermöglicht durch eine reichlich vorhandene und relativ kostengünstige Netzwerkbandbreite können IT-Dienste nun global an Benutzer verteilt werden. Der Bedarf zum Verschachteln von Serverseitentechnik in der Nähe der Klientenarbeitsstation nimmt ab, was zu dieser dramatischen Änderung bei der IT-Architektur geführt hat.
  • Diese Rezentralisierung erfordert eine größere Elastizität, Zuverlässigkeit und Sicherheit, da ein Ausfall von gemeinschaftlich verwendeten Ressourcen oder ein Verlust von kritischen Daten ein Unternehmen zu einem großen Ausmaß beeinträchtigen kann, das ein bereitstellbares Datenzentrum verwendet. Gleichzeitig jedoch können konsolidierte provisorische Datenzentren einfacher eingerichtet werden, um einzelne Fehlerpunkte zu beseitigen.
  • Ein weiterer Trend ist die wachsende Bedeutung von Dienstanbietern dritter Parteien. Netzwerkunternehmen finden es vorteilhaft, sich an Dienstanbieter zu wenden, anstelle die Kosten interner Entwicklung, Gliederung und Beibehaltung ihrer eigenen hausinternen Systeme zu tragen. In Bereichen, wie z. B. der globalen Netzwerkverarbeitung, dominieren Dienstanbieter beim Bereitstellen einer Handelsressource, die Unternehmen nie individuell entwickeln könnten.
  • Speicherungsdienstanbieter ermöglichen es Unternehmen, Daten bequem zwischenzuspeichern. Ein kleines aber wachsendes Kontingent an Anwendungsdienstanbietern (ASPs; ASP = Application Service Provider) ist nun in der Lage, Unternehmenssoftwaresysteme zu betreiben. IT-Dienstanbieter nutzen die Möglichkeit, über Unternehmen zu konsolidieren, was es denselben ermöglicht, äußerst konkurrenzfähig zu internen IT-Organisationen zu sein.
  • Die Systemverwaltungstools, die verfügbar sind, um die resultierenden notwendigerweise komplexen Netzwerksysteme zu betreiben und zu sichern, werden ebenfalls entwickelt. Eine konstante, dynamische Neubereitstellung von Ressourcen, um sich an wechselnde Klienten und Klientenbedürfnisse anzupassen, hängt von einer starken IT-Ressourcen-Verwaltungsbasis ab.
  • Sogar noch mehr als frühere verteilte Netzwerke unterliegen bereitstellbare Datenzentrumsnetzwerke einem möglichen Sicherheitsfehler und sogar einem Angriff durch die zahlreichen Kommunikationsverbindungen, die solche Systeme mit sich bringen. Da eine notwendige Kommunikation innerhalb und zwischen Ressourcen besteht, die innerhalb des bereitstellbaren Datenzentrums enthalten sind, sowie eine Kommunikation mit Benutzern außerhalb des Netzwerks, sind die möglichen Wege eines Sicherheitsausfalls zahlreich.
  • Zusätzlich zu dem „normalen" Hackerangriff können Sicherheitsverletzungen aus Dingen bestehen, wie z. B. dem nichtautorisierten Eintritt in einen Abschnitt einer Datenbank durch einen anderweitig autorisierten Benutzer oder der nicht autorisierten Verwendung einer Anwendung, die durch das Zentrum verwaltet wird. Ein Beispiel davon könnte die Verwendung durch eine fremde Technikeinrichtung einer Supercomputer-Rechenfluid-Dynamikeinrichtung sein, möglicherweise gesperrt durch ein Technikaustauschgesetz, bei dem die Verwendung anderer Abschnitte desselben bereitstellbaren Datenzentrums durch die fremde Einrichtung legitim und erwünscht ist.
  • Ein anderes Beispiel umfaßt einen Fall, in dem konkurrierende Klienten legitim durch das UDC bedient werden, die einen Teil der verfügbaren Ressourcen gemeinschaftlich verwenden, wie z. B. eine Marketingdatenbank. Die selben zwei Klienten können ferner das UDC zum sicheren Archivieren von proprietären Daten verwenden, von denen keiner möchte, daß der andere darauf zugreift. Ferner könnte das Verwaltungssystem eines bereitstellbaren Datenzentrums selbst das Ziel einer fokussierten Eindringung sein, deren Ziel das Schwächen der Verwaltungsstruktur sein kann, um andere Eindringungen zu ermöglichen.
  • Während andere Netzwerkeindringungs-Erfassungssysteme (NIDS; NIDS = Network Intrusion Detection System) vorliegen, um die Sicherheit von UDCs zu unterstützen, besteht wenig im Bereich von Systemen, die das NIDS selbst schützen. Ein NIDS ist ein mögliches Ziel von feindlichen Angriffen, wie z. B.: Versuche, Zugriff auf das NIDS-System zu gewinnen, durch gefährden von Netzwerkdiensten, wie z. B. einem Web-Server, SNMP (Simple Network Management Protocol) oder E-Mail; Versuche, sich in die Wurzel- oder Administrator-Benutzer einzuloggen; Versuche, die Datei- oder Verzeichnis-Erlaubnis zu ändern, Dateien auf dem NIDS-Sensor oder -Verwalter zu lesen oder zu modifizieren, möglicherweise, um Beweismaterial einer Eindringung zu löschen; nicht autorisierte Versuche, Dienste zu starten, die nicht auf den NIDS-Sensoren laufen sollten.
  • Eine bekannte IDS-Verriegelungssoftware (IDS = Intrusion Detection System) hat sich die IDS-Systemsicherheit nicht umfassend betrachtet. Wenn Produkte die IDS-Sicherheit betrachtet haben, neigten sie dazu, nur Softwarekomponenten zu schützen, die direkt auf die IDS-Software bezogen waren: Der IDS-System-Registrierungseintrag bei Microsoft Windows Systemen und die Datei- und Verzeichnis-Sicherheit für die IDS-Dateien selbst.
  • Was nun benötigt wird ist eine Methode zum Bereitstellen von Sicherheit für Eindringungserfassungssystem-Sensoren (IDS-Sensoren) in dem bereitstellbaren Hilfsprogrammdatenzentrum (UDC), derart, daß die IDS-Komponenten des Datenzentrums vor Eindringungen geschützt werden können, die entweder von einer externen Quelle stammen, wie z. B. einem der Öffentlichkeit zugewandten Internet/einem virtuellen privaten Netzwerk (VPN), Ressourcen, die durch das Datenzentrum bereitgestellt werden, oder Systemen von innerhalb eines weniger vertrauenswürdigen Teils der Verwaltungsinfrastruktur des Datenzentrums.
    •
  • Es ist die Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zum Bereitstellen von Sicherheit für ein Eindringungserfassungssystem in einem bereitstellbaren Netzwerk und ein Eindringungserfassungssystem mit verbesserten Charakteristika zu schaffen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1, ein System gemäß Anspruch 21 und ein Eindringerfassungssystem gemäß Anspruch 40 gelöst.
  • Entsprechend schaffen Ausführungsbeispiele der vorliegenden Erfindung eine Methode zum Bereitstellen von Sicherheit für die Eindringerfassungssystem-Sensoren (IDS-Sensoren) in einem bereitstellbaren (provisionable) Datenzentrum, hierin nachfolgend genannt ein Hilfsprogrammdatenzentrum (UDC; UDC = Utility Data Center), derart, daß Datenkommunikationsverkehr auf einem Netzwerksegment überwacht wird, oder Computersystemaktivität überwacht wird, oder sowohl System- als auch Netzwerk-Aktivität überwacht werden und Warnungen erzeugt werden, wenn verdächtige Ereignisse erfaßt werden. Während die IDS-Sensoren das Datenzentrum schützen, schützen Ausführungsbeispiele der vorliegenden Erfindung die Sensoren vor Angreifern, die nicht möchten, daß ihre verdächtige Netzwerkaktivität erfaßt wird; eine Aktivität, die zu einem Kompromiß aus System- oder Netzwerk-Vertraulichkeit, -Integrität oder -Verfügbarkeit führen könnte.
  • Ein Verfahren zum Bereitstellen von Sicherheit für ein Eindringungserfassungssystem in einem bereitstellbaren Netzwerk, wobei das Verfahren das Bewerten der Systemsicherheit des bereitstellbaren Netzwerks und das Anwenden einer Systemverriegelung in dem bereitstellbaren Netzwerk gemäß Ergebnissen der Bewertung aufweist.
  • Dieses und andere Ziele und Vorteile der vorliegenden Erfindung werden für Fachleute auf dem Gebiet offensichtlich, nachdem die nachfolgende detaillierte Beschreibung der bevorzugten Ausführungsbeispiele gelesen wurde, die in den verschiedenen Zeichnungsfiguren dargestellt sind.
    •
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1 ein Hilfsprogrammdatenzentrum gemäß Ausführungsbeispielen der vorliegenden Erfindung;
  • 2 ein Blockflußdiagramm gemäß Ausführungsbeispielen der vorliegenden Erfindung; und
  • 3 eine Blockdiagrammübersicht eines generischen Computersystems gemäß Ausführungsbeispielen der vorliegenden Erfindung.
  • Die vorangehenden Beschreibungen von spezifischen Ausführungsbeispielen der vorliegenden Erfindung wurden zu Zwecken der Darstellung und Beschreibung vorgelegt. Sie sollen nicht erschöpfend sein und die Erfindung auf die genauen offenbarten Formen einschränken, und offensichtlich sind viele Modifikationen und Variationen im Hinblick auf die obigen Lehren möglich. Die Ausführungsbeispiele wurden ausgewählt und beschrieben, um die Prinzipien der Erfindung und ihre praktische Anwendung bestmöglich zu beschreiben, um es dadurch anderen Fachleuten auf dem Gebiet zu ermöglichen, die Erfindung und verschiedene Ausführungsbeispiele mit verschiedenen Modifikationen bestmöglich zu verwenden, wie sie für die bestimmte gedachte Verwendung geeignet sind. Der Schutzerbereich der Erfindung soll durch die hier angefügten Ansprüche und ihre Entsprechungen definiert sein.
  • Diese Anmeldung lagert hierin durch Bezugnahme die mitanhängige Patentanmeldung Anwaltsaktenzeichen HP-200209593-1 ein, mit dem Titel „Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks" ein, die gleichzeitig mit der vorliegenden eingereicht und dem selben Bevollmächtigten der vorliegenden Erfindung zugeteilt wurde.
  • Die Operation eines Ausführungsbeispiels der vorliegenden Erfindung ist in 1 in Blockflußform dargestellt. Es wird hier darauf hingewiesen, daß Ausführungsbeispiele der vorliegenden Erfindung in der flexiblen und sich dynamisch ändernden Umgebung des bereitstellbaren Netzwerks oder des Hilfsprogrammdatenzentrum (UDC) arbeiten, das nachfolgend in 2 dargestellt ist. Das Verfahren 100 beginnt mit dem Bewerten der Systemsicherheit eines bereitstellbaren Netzwerks, wie z. B. eines UDC 110. Ansprechend auf die Ergebnisse der Bewertung wird bei 120 eine Systemverriegelung an das bereitstellbare Netzwerk angewendet. Die angewendete Verriegelung kann eine Vielzahl von Funktionen aufweisen, die einen Eindringling von einem Zugriff auf die IDS-Komponenten ausschließen, wie z. B. Sensoren und Verwaltungsfunktionen. Die Verriegelung kann z. B. Elemente umfassen, wie das Erfordern starker Paßwörter, das Sichern von Systemverzeichnissen und Dateigenehmigungen, das Schließen von Datenkommunikationstoren und das Verdecken des Administratoraccounts.
  • Es wird hier darauf hingewiesen, daß die Schritte 121 bis 130 bei diesem Ausführungsbeispiel die Schritte aufweisen, die zum Verriegeln eines IDS-Systems unternommen werden. Bei Schritt 121 werden die unbenutzten Abschnitte des IDS-Systems in dem UDC, d. h. Ressourcen, die nicht spezifisch und zweckmäßig für die Verwendung des IDS-Systems bestimmt sind, deaktiviert. Die tatsächliche Einrichtung der Deaktivierung hängt von der spezifischen Ressource ab, die deaktiviert wird, und kann das Deaktivieren der Kommunikationsverbindungen zu der spezifischen Ressource oder das Ab schalten von Anwendungsprozessen umfassen, die auf dem IDS-System laufen.
  • Bei Schritt 122 werden kritische Dateien und Verzeichnisse geschützt. Aufgrund der dynamischen Eigenschaft von Dateien und Verzeichnissen bei der Verwaltung eines großen und komplexen Netzwerks, wie z. B. eines UDC, müssen dieselben für einen legitimen Zugriff in Betrieb bleiben. Dieser Schritt kann das Ändern des aktuellen Besitzes von spezifischen Dateien oder das Ändern von Kommunikationswegen zu und von den kritischen Dateien und Verzeichnissen umfassen.
  • Bei Schritt 123 wird die geeignete verwaltungstechnische Anmeldung deaktiviert, während das System in Betrieb ist. Da der Eintritt eines üblichen Hackers in ein System die Emulation des legitimen Systemadministrators ist, ist der normale Eintritt des Administrators insbesondere anfällig für einen Angriff. Dieser Schritt bei einer Verriegelungsanwendung kann verhindern, daß ein Weg ausgenutzt wird, durch Verhindern aller Eintritte mit der Anmeldung des Administrators zu bestimmten Zeiten oder während bestimmter Teile der Operation des UDC. Es wird hier darauf hingewiesen, daß die administrative Benutzeranmeldung als „Administrator" oder „Wurzel" bei zwei bekannten Computerbetriebssystemen bekannt ist.
  • Andere Funktionen der Anwendung einer Systemverriegelung, die von den spezifischen Operationen und von dem Grundelement des spezifischen UDC abhängig sind, werden bei Schritt 130 implementiert. Diese können folgende umfassen, sind jedoch nicht auf diese beschränkt: Deaktivieren von Änderungen an Systemregistrierungseinträgen, die kritisch für das Betriebssystem und die IDS-Software in einem Betriebssystem sind, das eine Systemregistrierung verwendet, Deaktivieren von Kommunikationen an ausgewählten TCP- und UDP-Toren in dem IDS-Verwaltungssystem, das die IDS-Sensoren steuert, Ändern der „Gemeinschaftszeichenfolge" auf einen nichtöffentlichen Wert, wenn einfache Netzwerkverwaltungs protokolldienste (SNMP-Dienste) erforderlich sind, Erfordern, daß alle Benutzer ein gültiges Paßwort haben, das regelmäßig und häufig geändert wird, und andere Funktionen, die durch die betriebstechnischen Eigenschaften des UDC, seiner Ressourcen und Klienten getrieben werden.
  • Ausführungsbeispiele der vorliegenden Erfindung arbeiten unterschiedlich, abhängig davon, ob das IDS, an das ein Ausführungsbeispiel angewendet wird, ein Hosteindringungserfassungssystem (HIDS) oder ein Netzwerkeindringungserfassungssystem (NIDS) ist. Für einen HIDS-Schutz konzentriert sich die Anwendung einer Teilsystemverriegelung auf Nicht-Netzwerkfunktionen, wie z. B. Datei- und Verzeichnis-Sicherheit, Benutzernamen und Paßwörter für die HIDS-Benutzer und Verriegelung für die Systemverzeichniseinträge bei dem anwendbaren Betriebssystem.
  • Wenn weitere Bewertungen oder Neubewertungen erforderlich sind, 140, beginnt das Verfahren bei 110 neu. Wenn keine Bewertungen mehr erforderlich sind, wird dieses Ausführungsbeispiel der vorliegenden Erfindung bei 199 angehalten.
  • Ausführungsbeispiele der vorliegenden Erfindung arbeiten in der flexiblen und sich dynamisch ändernden Umgebung des bereitstellbaren Netzwerk- oder Hilfsprogramm-Datenzentrums (UDC). 2 stellt ein einsetzbares Netzwerkeindringungserfassungssystem 212 mit Sonden in einem typischen bereitstellbaren Hilfsprogrammdatenzentrum dar. Ein bereitstellbares Netzwerk- oder Hilfsprogramm-Datenzentrum (UDC) 200 ist gezeigt, begrenzt durch eine virtuelle Sicherheitsgrenze 250. Die Grenze 250 ist hier nur gezeigt, um das Darstellen der hierin vorgelegten Konzepte zu unterstützen. Bei Implementierungen von Ausführungsbeispielen der vorliegenden Erfindung kann sich die virtuelle Grenze 250 logisch erstrecken, um Elemente des UDC zu umfassen, die physisch auf einem anderen Kontinent als andere Elemente angeordnet sind.
  • Ein typisches UDC 200 weist ein lokales Betriebszentrums-Netz (LAN) 208, eine Datenzentrum-Hilfsprogrammsteuerungs-LAN 201 und Ressourcenpools 206 auf. Es wird hier darauf hingewiesen, daß UDCs durch ihre Eigenschaft in ihrer Zusammensetzung flexibel sind, eine beliebige Anzahl und einen beliebigen Typ von Vorrichtungen und Systemen aufweisen. Sie erhalten ihre Nützlichkeit aus ihrer Flexibilität.
  • Bei dieser Darstellung kommuniziert ein typisches UDC 200 mit der Außenwelt über das Internet 220 und ein virtuelles privates Netzwerk (VPN) 221. Die Kommunikationsverbindungen, die diese Kommunikation ermöglichen, werden durch eine Firewall bzw. Brandmauer 210 geschützt. Die Firewall 200 ist gezeigt, um ein Konzept darzustellen, das kein bestimmtes Verfahren oder System des Eindringschutzes anzeigen soll. Viele Typen von Hardware- und Software-Firewalls sind in der Technik bekannt und die Firewall 210 kann eines oder beides sein.
  • Es wird darauf hingewiesen, daß bei einem typischen UDC 200 drei „Vertrauensdomänen" vorliegen; LANs oder Teilsysteme, die durch unterschiedliche Ebenen der Systemverwaltung zugreifbar sind und betrieben werden, wobei jede derselben durch Ausführungsbeispiele der vorliegenden Erfindung geschützt wird. Die Bedeutung der Unterscheidung bei der Vertrauensebene, die an jede Vertrauensdomäne angebracht ist, wird bei der nachfolgenden Erörterung deutlicher. Die Ebene des Vertrauens kann bei der Betriebsumgebung der Ausführungsbeispiele der vorliegenden Erfindung in einer Vertrauenshierarchie eingerichtet sein.
  • Die Firewall 210 trennt eine Gesamtvertrauensdomäne, das UDC, von der Außenwelt, die durch das Internet und das virtuelle private Netzwerk (VPN) 220 angezeigt ist. Das Betriebszentrum-LAN (OC-LAN) 205 weist eine interne Vertrauensdomäne auf. In einem OC-LAN 205 sind Verwalter-von-Verwaltern-Server (MoM-Server; MoM = Manager-of-Managers) 209, Netzwerkeindringungserfassungssysteme (NIDS) 212, NIDS-Verwalter 211 und eine Mehrfachsegmentsonde 215 umfaßt. Es wird darauf hingewiesen, daß obwohl das NIDS 212, der NIDS-Verwalter 211 und die Mehrfachsegmentsonde 215 als computerähnliche Vorrichtungen dargestellt sind, ihr physisches Vorhandensein nicht auf eine bestimmte Vorrichtung beschränkt ist. Jedes derselben kann als eine alleinstehende Vorrichtung existieren oder kann als eine Software implementiert sein, die in einer physischen Vorrichtung oder einem Server vorliegt. Eindringungserfassungssonden 225 sind als Aktionen dargestellt und nicht als eine Form von Vorrichtung.
  • Das Herz eines UDC ist das Datenzentrums-Hilfsprogrammsteuerung-(UC)-LAN, 201. Dieses LAN stellt eine weitere, höhere, interne Vertrauensdomäne dar. Das UC-LAN kommuniziert durch das OC-LAN 205 und ist üblicherweise von demselben durch verschiedene Formen von Firewalls 202 getrennt. Das UC-LAN 201 kann verschiedene Zahlen von Ressourcenverwaltern aufweisen, wie bei 203 dargestellt ist. Die Flexibilität, die dem UDC-Konzept eigen ist, kann zu vielen Kombinationen von Ressourcen und Ressourcenverwaltern führen. Ressourcenverwalter 203 sind die übliche Schnittstelle mit den verschiedenen Pools aus Ressourcen 206, die mit denselben durch eine Art von Schaltnetzwerk kommunizieren, wie durch den Reihe-1-Schalter (bzw. Tier-1-Switch) bei 208 angezeigt ist.
  • Ressourcenpools 206 sind unbeschränkt flexibel und weisen eine vorstellbare Kombination von Datenservern, Rechenfähigkeit, Lastausgleichsservern oder anderen denkbaren Vorrichtungen oder Fähigkeiten auf. Aufgrund der möglichen Vielzahl von Ressourcen, die in Ressourcenpools 206 umfaßt sein können, sind dieselben von dem UC-LAN 201 durch Firewalls 204 getrennt, die wie UC-Firewalls 202 Software oder Hardware oder beides in vielen Kombinationen sein können.
  • Das NIDS 212 kommuniziert direkt mit dem UC-LAN 205. Eindringungserfassungssonden 225 werden in dem UDC 200 derart eingesetzt, daß die Verwaltungskomponenten des UDC 200 vor Eindringungen geschützt sind, die entweder aus einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit zugewandten Internet/VPN-Netzwerk 220, den verwalteten Ressourcen 206, die durch das UDC 200 bereitgestellt sind, oder den Systemen innerhalb des weniger vertrauenswürdigen Teils der UDC-Verwaltungsinfrastruktur. Es wird darauf hingewiesen, daß der Ausdruck „Infrastruktur", wie er bei dieser Erörterung von Ausführungsbeispielen der vorliegenden Erfindung verwendet wird, Computer, Router, Hubs, Schalter, Kabel, drahtlose Verbindungen, I/O-Vorrichtungen, Software, Betriebssysteme und eine beliebige andere Hardware- oder Software-implementierte Vorrichtung oder Funktion umfaßt, die in dem Aufbau eines physischen oder virtuellen Netzwerks umfaßt ist, egal ob es sich um ein LAN, WAN, VPN oder eine andere Funktion implementiert in oder auf Netzwerken handelt.
  • Dieses Ausführungsbeispiel der vorliegenden Erfindung arbeitet in einer Umgebung, die zwischen drei Vertrauensdomänen unterscheidet, die in einer Vertrauenshierarchie eingerichtet sind:
    • 1. Das Betriebszentrums-LAN (OC-LAN) 205, wo das nichtkritische UDC und andere operationsbezogene Funktionen vorliegen. Die Vertrauensebene ist niedriger als das Datenzentrumssteuerungs-LAN 201.
    • 2. Das Datenzentrumssteuerungs-LAN 201, wo Aufgaben, die sich auf die automatisierte Bereitstellung von verwalteten Ressourcen 206 beziehen, vorliegen. Der Zugriff auf das Datenzentrums-LAN 201 ist streng eingeschränkt.
    • 3. Die Verwaltete-Ressourcen-LANs, wo die verwalteten Ressourcen 206 vorliegen. Diese LANs sind üblicherweise nicht vertrauenswürdig.
  • Es wird hier darauf hingewiesen, daß Klienten des UDC von außerhalb der vertrauenswürdigen Struktur stammen und auf Elemente des UDC über das Internet oder ein virtuelles privates Netzwerk (VPN), das in der Internetinfrastruktur vorliegt, zugreifen.
  • Wie in 2 gezeigt ist, werden NIDS-Sonden 225 um die Firewalls 202 und 204 verwendet, die Eintritt/Austritt in/aus dem Datenzentrumssteuerungs-LAN 201 liefern. Sonden 225 werden ebenfalls um die Ressourcenverwalter 203 eingesetzt, die als ein Gateway zwischen den verwalteten Ressourcen und dem Datenzentrumssteuerungs-LAN 201 wirken.
  • Die Sonden 225 senden Warnmeldungen an den NIDS-Verwalter 211. Als Teil der initiierten Antwort auf eine Warnmeldung ist der NIDS-Verwalter 211 konfiguriert, um die Priorität von jeder Warnung abhängig von sowohl der Sonde, die die Warnung erfaßt hat, und dem Typ der Warnung, der erfaßt wurde, zu erhöhen oder zu senken.
  • Der NIDS-Verwalter 211 sendet wiederum seine Höchste-Priorität-Warnungen zu einem Warnungsbildschirm, der in dem Betriebszentrums-LAN 205 angeordnet ist. Nicht gezeigt in 2 aber auf jedem Computersystem in dem Betriebszentrum 205 und den Datenzentrumssteuerungs-LANs 210 ist eine Hosteindringungserfassungssystem-Software (HIDS-Software).
  • Das HIDS-System wird auf die Funktionen abgestimmt oder konfiguriert, die durch jedes System bereitgestellt werden, um die Anzahl von falschen Eindringwarnungen zu minimieren. Warnungen werden zu dem Ereignismonitor gesendet, der in dem Betriebszentrum 205 vorliegt. Warnungen werden ferner zu einem HIDS-Verwalter gesendet, der auf dem selben System vorliegt wie der Ereignismonitor.
  • Der Ereignismonitor, der in dem OC 205 vorliegt, erfaßt Ereignisse von sowohl dem HIDS- als auch dem NIDS-System und von der Firewall 210, die zwischen dem Betriebszentrum und dem externen VPN-Netzwerk oder dem Internet verwendet wird. Eine optionale NIDS-Sonde oder ein Satz von Sonden kann zwischen dieser Firewall 210 und dem Betriebszentrum-LAN 205 eingesetzt werden. Der Ereignismonitor kann Ereignisse sowohl von dem HIDS- als auch von dem NIDS-System reduzieren und korrelieren.
  • Jedes der Systeme bei diesem Ausführungsbeispiel der vorliegenden Erfindung und die NIDS-Sonden weisen ihr Softwarebetriebssystem geschützt durch die „Verriegelungs"-Software auf, die in dieser Erörterung von Ausführungsbeispielen der vorliegenden Erfindung derart vorgelegt wird, daß es schwieriger gemacht wird, unautorisierten Zugriff auf dieselben zu erhalten. Wie oben erörtert wurde, wird die Verriegelungssoftwarekonfiguration für die individuellen Systeme maßgeschneidert.
  • Ausführungsbeispiele der vorliegenden Erfindung ermöglichen eine zweckmäßige Verwaltungsvorrichtung, dadurch, daß HIDS- und NIDS-Ereignisse und -Warnungen für ein UDC 200 in einem einzelnen Browser angezeigt werden, der für die UDC-Verwaltung verfügbar ist.
  • HIDS- und NIDS-Konfigurationen können für ein UDC kundenspezifisch eingerichtet werden. Das Ausführungsbeispiel der vorliegenden Erfindung, das hier erörtert wird, integriert eine Technik, die von Datenkommunikationsschalter-Verkäufern, Datenkommunikationsfirewall-Verkäufern, Dateneindringungserfassungssoftware-Verkäufern, Hosteindringungserfassungssoftware-Verkäufern und Betriebssystemverriegelungssoftware bereitgestellt werden kann. Sowohl HIDS als auch NIDS werden für ein UDC bereitgestellt.
  • Die Softwarekomponenten von Ausführungsbeispielen der vorliegenden Erfindung laufen auf Computern. Eine Konfiguration, die für ein generisches Computersystem typisch ist, ist in 3 in Blockdiagrammform dargestellt. Der generische Computer 300 ist durch einen Prozessor 301, der elektronisch durch einen Bus 350 mit einem flüchtigen Speicher 302, einem nichtflüchtigen Speicher 303, möglicherweise einer Form einer Datenspeicherungsvorrichtung 304 und einer Anzeigevorrichtung 305, verbunden ist, charakterisiert. Es wird darauf hingewiesen, daß die Anzeigevorrichtung 305 in unterschiedlichen Formen implementiert sein kann. Während ein Video-CRT- oder LCD-Bildschirm üblich ist, kann dieses Ausführungsbeispiel mit anderen Vorrichtungen oder möglicherweise keiner Vorrichtung implementiert sein. Die Systemverwaltung ist mit diesem Ausführungsbeispiel der vorliegenden Erfindung in der Lage, die momentane Anordnung der Einrichtung zum Ausgeben von Warnflags zu bestimmen, und die Anordnung ist nicht auf die physische Vorrichtung beschränkt, in der dieses Ausführungsbeispiel der vorliegenden Erfindung vorliegt.
  • Auf ähnliche Weise sind eine mögliche alphanumerische Eingabevorrichtung 306, eine Cursorsteuerung 307 und eine Kommunikations-I/O-Vorrichtung 308 über einen Bus 350 verbunden. Eine alphanumerische Eingabevorrichtung 306 kann als eine Anzahl von möglichen Vorrichtungen implementiert sein, ist jedoch üblicherweise als eine Tastatur implementiert. Ausführungsbeispiele der vorliegenden Erfindung können jedoch in Systemen betrieben werden, in denen eine Eindringungserfassung entfernt von einer Systemverwaltungsvorrichtung angeordnet ist, was den Bedarf nach einer direkt verbundenen Anzeigevorrichtung und nach einer alphanumerischen Eingabevorrichtung offensichtlich macht. Auf ähnliche Weise basiert die Verwendung einer Cursorsteuerung 307 auf der Verwendung einer graphischen Anzeigevorrichtung 305. Die Kommunikations-I/O-Vorrichtung 308 kann als ein breiter Bereich von möglichen Vorrichtungen implementiert sein, einschließlich einer seriellen Verbindung, eines USB, eines Infrarot-Sende-Empfangs-Geräts, eines Netzwerkadapters oder eines HF-Sende-Empfangs-Geräts.
  • Die Konfiguration der Vorrichtungen, in denen dieses Ausführungsbeispiel der vorliegenden Erfindung vorliegt, kann ohne Auswirkung auf die hierin vorgelegten Konzepte variieren. Die Flexibilität des UDC-Konzepts liefert eine grenzenlose Vielzahl von möglichen Hardwarevorrichtungs- und Zwischenverbindungs-Kombinationen, bei denen Ausführungsbeispiele der vorliegenden Erfindung bereitgestellt werden können.
  • Diese Beschreibung von Ausführungsbeispielen der vorliegenden Erfindung schafft eine Methode zum Bereitstellen von Sicherheit für die Eindringungserfassungssystemsensoren in einem bereitstellbaren Datenzentrum, derart, daß die Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt sind, die entweder von einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit zugewandten Internet/VPN-Netzwerk, den verwalteten Ressourcen, die durch das UDC bereitgestellt sind, oder den Systemen innerhalb eines weniger vertrauenswürdigen Teils der UDC-Verwaltungsinfrastruktur. Während die Host- und Netzwerk-IDS-Senosren das Datenzentrum schützen, schützen Ausführungsbeispiele der vorliegenden Erfindungen die Sensoren selbst vor Angreifern, die nicht möchten, daß ihre verdächtige Netzwerkaktivität erfaßt wird; eine Aktivität, die zu einem Kompromiß aus System- oder Netzwerk-Vertraulichkeit, -Integrität oder -Verfügbarkeit führen könnte.

Claims (45)

  1. Verfahren (100) zum Bereitstellen von Sicherheit für ein Eindringungserfassungssystem (212) in einem bereitstellbaren Netzwerk (200), wobei das Verfahren folgende Schritte aufweist: Bewerten der Systemsicherheit (110) des bereitstellbaren Netzwerks (200); und Anwenden einer Systemverriegelung (120) in dem bereitstellbaren Netzwerk (200) gemäß den Ergebnissen des Bewertens.
  2. Verfahren (100) zum Bereitstellen von Sicherheit gemäß Anspruch 1, bei dem das Eindringungserfassungssystem (212) als ein Hosteindringungserfassungssystem (215) implementiert ist.
  3. Verfahren (100) zum Bereitstellen von Sicherheit gemäß Anspruch 2, bei dem das Hosteindringungserfassungssystem (215) als eine Software implementiert ist, die in einem Hilfsprogrammdatenzentrum (200) vorliegt.
  4. Verfahren zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 3, bei dem das Eindringungserfassungssystem (212) als ein Netzwerkeindringungserfassungssystem (212) implementiert ist.
  5. Verfahren zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 4, bei dem das bereitstellbare Netzwerk (200) ein Hilfsprogrammdatenzentrum (200) aufweist.
  6. Verfahren zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 5, bei dem das bereitstellbare Netzwerk (200) einen Ressourcenpool (206) aufweist.
  7. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 6, bei dem das bereitstellbare Netzwerk (200) einen Ressourcenverwalter (203) aufweist.
  8. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 7, bei dem das bereitstellbare Netzwerk (200) ein Netzwerkeindringungserfassungssystem (212) aufweist.
  9. Verfahren zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 8, bei dem das Eindringungserfassungssystem (212) eine zweckgebundene Hardwarevorrichtung aufweist.
  10. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 9, bei dem das Eindringungserfassungssystem (212) eine Software aufweist, die in dem bereitstellbaren Netzwerk (200) vorliegt.
  11. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 10, bei dem das Bewerten der Systemsicherheit das Bestimmen der Abschnitte des bereitstellbaren Netzwerks (200) aufweist, die notwendig für das Funktionieren des Eindringungserfassungssystems (212) sind.
  12. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 11, bei dem das Anwenden der Systemverriegelung das Deaktivieren unbenutzter bereitstellbarer Dienste aufweist.
  13. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 12, bei dem das Anwenden der Systemverriegelung das Deaktivieren von unbenutzten nichtbereitstellbaren Diensten aufweist.
  14. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 13, bei dem das Anwenden der Systemverriegelung das Schützen von Dateien und Verzeichnissen aufweist, die kritisch für das Betriebssystem sind.
  15. Verfahren zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 14, bei dem das Anwenden der Systemverriegelung das Schützen von Dateien und Verzeichnissen aufweist, die kritisch für eine Eindringungserfassungs-Sensorsoftware sind.
  16. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 15, bei dem das Anwenden der Systemverriegelung das Deaktivieren einer verwaltungstechnischen Benutzeranmeldung ist.
  17. Verfahren (100) zum Bereitstellen von Sicherheit gemäß Anspruch 16, bei dem das Deaktivieren einer verwaltungstechnischen Benutzeranmeldung das Deaktivieren eines Wurzelverzeichnisses aufweist.
  18. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 17, bei dem das Anwenden der Systemverriegelung das Deaktivieren einer Änderung an einem Systemregistrierungseintrag aufweist.
  19. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 18, bei dem das Anwenden der Systemverriegelung das Ausführen einer Änderung an einem Systemregistrierungseintrag aufweist.
  20. Verfahren (100) zum Bereitstellen von Sicherheit gemäß einem der Ansprüche 1 bis 19, bei dem das Anwenden der Systemverriegelung das Deaktivieren einer Kommunikation an einem ausgewählten Kommunikationstor aufweist.
  21. System zum Bereitstellen von Sicherheit für ein Eindringungserfassungssystem (212) in einem bereitstellbaren Netzwerk (200), das folgende Merkmale aufweist: ein lokales Netz, das einen Server aufweist; einen Eindringungserfassungssystemverwalter, der kommunikativ mit dem lokalen Netz gekoppelt ist; und einen Eindringungserfassungssystemsensor, der aktiviert ist, um eine Eindringung in das lokale Netz zu erfassen und darauf zu reagieren.
  22. System gemäß Anspruch 21, bei dem das lokale Netz ein Betriebszentrum des bereitstellbaren Netzwerks aufweist.
  23. System gemäß Anspruch 21 oder 22, bei dem das Eindringungserfassungssystem (212) ein Hosteindringungserfassungssystem (215) aufweist.
  24. System gemäß Anspruch 23, bei dem das Hosteindringungserfassungssystem (215) eine Software aufweist, die in einer Hardwarevorrichtung vorliegt.
  25. System gemäß einem der Ansprüche 21 bis 24, bei dem das Eindringungserfassungssystem ein Netzwerkeindringungserfassungssystem (212) aufweist.
  26. System gemäß Anspruch 25, bei dem das Netzwerkeindringungserfassungssystem eine zweckgebundene Hardwarevorrichtung aufweist.
  27. System gemäß einem der Ansprüche 21 bis 26, bei dem das bereitstellbare Netzwerk (200) ein Hilfsprogrammdatenzentrum aufweist.
  28. System gemäß einem der Ansprüche 21 bis 27, bei dem das bereitstellbare Netzwerk einen Ressourcenpool aufweist.
  29. System gemäß einem der Ansprüche 21 bis 28, bei dem das bereitstellbare Netzwerk (200) einen Ressourcenverwalter (203) aufweist.
  30. System gemäß einem der Ansprüche 21 bis 29, bei dem der Eindringungserfassungssystemsensor aktiviert ist, um eine Eindringung zu erfassen, die sich auf das Eindringungserfassungssystem richtet.
  31. System gemäß einem der Ansprüche 21 bis 30, bei dem das Eindringungserfassungssystem aktiviert ist, um eine Antwort auf ein Risiko der Eindringung zu initiieren, wobei die Antwort das Anwenden einer Systemverriegelung aufweist.
  32. System gemäß Anspruch 31, bei dem das Anwenden der Systemverriegelung das Deaktivieren von unbenutzten bereitstellbaren Diensten aufweist.
  33. System gemäß Anspruch 31 oder 32, bei dem das Anwenden der Systemverriegelung das Schützen von Dateien und Verzeichnissen aufweist, die kritisch für das Betriebssystem sind.
  34. System gemäß einem der Ansprüche 31 bis 33, bei dem das Anwenden der Systemverriegelung das Schützen von Dateien und Verzeichnissen aufweist, die kritisch für die Eindringungserfassungssensorsoftware sind.
  35. System gemäß einem der Ansprüche 31 bis 34, bei dem das Anwenden der Systemverriegelung das Deaktivieren einer Änderung an einem Systemregistrierungseintrag aufweist.
  36. System gemäß einem der Ansprüche 31 bis 35, bei dem das Anwenden der Systemverriegelung das Ausführen einer Änderung an einem Systemregistrierungseintrag aufweist.
  37. System gemäß einem der Ansprüche 31 bis 36, bei dem das Anwenden der Systemverriegelung das Deaktivieren der Kommunikation an einem ausgewählten Kommunikationstor aufweist.
  38. System gemäß einem der Ansprüche 31 bis 37, bei dem das Anwenden der Systemverriegelung das Deaktivieren einer verwaltungstechnischen Benutzeranmeldung aufweist.
  39. System gemäß Anspruch 38, bei dem das Deaktivieren einer verwaltungstechnischen Benutzeranmeldung das Deaktivieren eines Wurzelverzeichnisses aufweist.
  40. Eindringerfassungssystem, das aktiviert ist, um eine Eindringung in ein bereitstellbares Netzwerk zu erfassen, das folgende Merkmale aufweist: eine Eindringungserfassungssoftware, die in einer Netzwerkvorrichtung vorliegt; eine Vertrauenshierarchie, die aktiviert ist, um mit der Software zu kommunizieren und eine Bewertung einer erfaßten Eindringung zu verursachen; einen Eindringungserfassungssensor; und eine Netzwerkvorrichtung, die aktiviert ist, um eine Antwort auf eine erfaßte Eindringung zu erzeugen.
  41. Eindringungserfassungssystem gemäß Anspruch 40, bei dem das System in einem lokalen Betriebszentrums-Netzwerk vorliegt.
  42. Eindringungserfassungssystem gemäß Anspruch 40 oder 41, bei dem die Vertrauenshierarchie konfigurierbar ist.
  43. Eindringungserfassungssystem gemäß einem der Ansprüche 40 bis 42, bei dem der Eindringungserfassungssystemsensor eine Hardwarevorrichtung ist.
  44. Eindringungserfassungssystem gemäß einem der Ansprüche 40 bis 43, bei dem der Eindringungserfassungssystemsensor als eine Software implementiert ist, die in einer Hardwarevorrichtung vorliegt.
  45. Eindringungserfassungssystem gemäß einem der Ansprüche 40 bis 44, bei dem die Antwort auf eine erfaßte Eindringung eine Systemverriegelung aufweist.
DE10346923A 2003-01-21 2003-10-09 Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren Withdrawn DE10346923A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/349423 2003-01-21
US10/349,423 US7523503B2 (en) 2003-01-21 2003-01-21 Method for protecting security of network intrusion detection sensors

Publications (1)

Publication Number Publication Date
DE10346923A1 true DE10346923A1 (de) 2004-08-05

Family

ID=32681622

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10346923A Withdrawn DE10346923A1 (de) 2003-01-21 2003-10-09 Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren

Country Status (2)

Country Link
US (1) US7523503B2 (de)
DE (1) DE10346923A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
JP4462849B2 (ja) * 2003-05-30 2010-05-12 株式会社日立製作所 データの保護装置、方法およびプログラム
US20060069754A1 (en) * 2004-06-30 2006-03-30 Keith Buck Enablement of software-controlled services required by installed applications
US20060013969A1 (en) * 2004-07-16 2006-01-19 Haupt Maureen D M Artificial floral assembly
US20070002736A1 (en) * 2005-06-16 2007-01-04 Cisco Technology, Inc. System and method for improving network resource utilization
JP4984531B2 (ja) * 2006-01-06 2012-07-25 富士通株式会社 サーバ監視プログラム、中継装置、サーバ監視方法
US20080127343A1 (en) * 2006-11-28 2008-05-29 Avaya Technology Llc Self-Operating Security Platform
US20090254970A1 (en) * 2008-04-04 2009-10-08 Avaya Inc. Multi-tier security event correlation and mitigation
CN102812431A (zh) 2010-03-22 2012-12-05 Lrdc系统有限公司 用于识别与保护一组源数据的完整性的方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5944789A (en) * 1996-08-14 1999-08-31 Emc Corporation Network file server maintaining local caches of file directory information in data mover computers
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US5935245A (en) * 1996-12-13 1999-08-10 3Com Corporation Method and apparatus for providing secure network communications
US5887134A (en) * 1997-06-30 1999-03-23 Sun Microsystems System and method for preserving message order while employing both programmed I/O and DMA operations
US6125457A (en) * 1997-12-29 2000-09-26 Compaq Computer Corporation Networked computer security system
US6735701B1 (en) * 1998-06-25 2004-05-11 Macarthur Investments, Llc Network policy management and effectiveness system
US6266773B1 (en) * 1998-12-31 2001-07-24 Intel. Corp. Computer security system
US6895436B1 (en) * 1999-07-01 2005-05-17 International Business Machines Corporation Method and system for evaluating network security
US6793625B2 (en) * 2000-11-13 2004-09-21 Draeger Medical Systems, Inc. Method and apparatus for concurrently displaying respective images representing real-time data and non real-time data
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7191438B2 (en) * 2001-02-23 2007-03-13 Lenovo (Singapore) Pte, Ltd. Computer functional architecture and a locked down environment in a client-server architecture
US20020178378A1 (en) * 2001-05-25 2002-11-28 Geoffrey Shively Secure intrusion detection system
US7237258B1 (en) * 2002-02-08 2007-06-26 Mcafee, Inc. System, method and computer program product for a firewall summary interface
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7350203B2 (en) * 2002-07-23 2008-03-25 Alfred Jahn Network security software
US6768652B2 (en) * 2002-09-16 2004-07-27 Hewlett-Packard Development Company, L.P. Multistage undocking assembly and system and method incorporating same
US7549166B2 (en) * 2002-12-05 2009-06-16 International Business Machines Corporation Defense mechanism for server farm
US6898632B2 (en) * 2003-03-31 2005-05-24 Finisar Corporation Network security tap for use with intrusion detection system

Also Published As

Publication number Publication date
US20040143761A1 (en) 2004-07-22
US7523503B2 (en) 2009-04-21

Similar Documents

Publication Publication Date Title
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE60130902T2 (de) Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE112004000428B4 (de) Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien
DE69836271T2 (de) Mehrstufiges firewall-system
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
Markham et al. Security at the network edge: A distributed firewall architecture
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
DE112018004465T5 (de) Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen
DE10346923A1 (de) Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren
DE102009054128A1 (de) Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers
DE10241974B4 (de) Überwachung von Datenübertragungen
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE10346927A1 (de) Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, HOU, US

Free format text: FORMER OWNER: HEWLETT-PACKARD DEVELOPMENT COMPANY, L.P., HOUSTON, TEX., US

R082 Change of representative

Representative=s name: SCHOPPE, ZIMMERMANN, STOECKELER, ZINKLER, SCHE, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee